Configuração AWS Secrets Manager e permissões - Amazon Managed Service para Prometheus

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração AWS Secrets Manager e permissões

Antes de enviar alertas para PagerDuty, você deve armazenar com segurança sua chave de PagerDuty integração e configurar as permissões necessárias. Esse processo envolve criar um segredo AWS Secrets Manager, criptografá-lo com uma chave gerenciada pelo cliente AWS Key Management Service (AWS KMS) e conceder ao Amazon Managed Service for Prometheus as permissões necessárias para acessar o segredo e sua chave de criptografia. Os procedimentos a seguir orientam você em cada etapa desse processo de configuração.

Para criar um segredo no Secrets Manager para PagerDuty

Para usar PagerDuty como receptor de alertas, você deve armazenar sua chave de PagerDuty integração no Secrets Manager. Siga estas etapas:

  1. Abra o console do Secrets Manager.

  2. Selecione Armazenar um novo segredo.

  3. Em Tipo de segredo, escolha Outro tipo de segredo.

  4. Para pares chave/valor, insira sua chave de PagerDuty integração como valor secreto. Essa é a chave de roteamento ou a chave de serviço da sua PagerDuty integração.

  5. Escolha Próximo.

  6. Insira um nome e uma descrição para seu segredo e escolha Avançar.

  7. Defina as configurações de rotação, se desejar, e escolha Avançar.

  8. Revise suas configurações e escolha Loja.

  9. Depois de criar o segredo, anote seu ARN. Você precisará disso ao configurar o gerenciador de alertas.

Para criptografar seu segredo com uma chave gerenciada pelo cliente AWS KMS

Você deve conceder permissão ao Amazon Managed Service for Prometheus para acessar seu segredo e sua chave de criptografia:

  1. Política de recursos secretos: abra seu segredo no console do Secrets Manager.

    1. Escolha Permissões de recursos.

    2. Escolha Editar permissões.

    3. Adicione a seguinte declaração de política. Na declaração, substitua o highlighted values por seus valores específicos.

      {
  "Effect": "Allow",
  "Principal": {
    "Service": "aps.amazonaws.com"
  },
  "Action": "secretsmanager:GetSecretValue",
  "Resource": "*",
  "Condition": {
    "ArnEquals": {
      "aws:SourceArn": "arn:aws:aps:aws-region:123456789012:workspace/WORKSPACE_ID"
    },
    "StringEquals": {
      "aws:SourceAccount": "123456789012"
    }
  }
}

    4. Escolha Salvar.

  2. Política de chaves do KMS: abra sua AWS KMS chave no AWS KMS console.

    1. Escolha Política de chaves.

    2. Escolha Editar.

    3. Adicione a seguinte declaração de política. Na declaração, substitua o highlighted values por seus valores específicos.

      {
  "Effect": "Allow",
  "Principal": {
    "Service": "aps.amazonaws.com"
  },
  "Action": "kms:Decrypt",
  "Resource": "*",
  "Condition": {
    "ArnEquals": {
      "aws:SourceArn": "arn:aws:aps:aws-region:123456789012:workspace/WORKSPACE_ID"
    },
    "StringEquals": {
      "aws:SourceAccount": "123456789012"
    }
  }
}

    4. Escolha Salvar.

Próximas etapas — Continue para o próximo tópico,Configure o gerenciador de alertas para enviar alertas para PagerDuty.